SCADA StrangeLove
| Scada StrangeLove | |
|---|---|
| Тип | бизнес |
| Дата основания | 2012 |
| Отрасль | Информационная безопасность |
| Сайт | www.scadasl.org |
Scada Strangelove — основанная в 2012 году некоммерческая группа исследователей в области информационной безопасности, фокусирующаяся на анализе защищенности промышленных систем управления, таких как SCADA, PLC, RTU, SmartGrid.
Направления деятельности
Основные направления:
выявление и устранение уязвимостей 0-day и закладок; анализ защищенности основных компонентов АСУ ТП, таких как протоколы, инструменты разработки; выявление АСУ ТП, подключенных к Интернет; разработка рекомендаций по повышению защищенности промышленных систем; исследования влияния кибербезопасности на functional safety и катастрофоустойчивость; распространение информации об актуальном состоянии безопасности промышленных систем и повышение осведомленности сообщества. В фокусе исследований находятся не только системы промышленного уровня, но и другие встраиваемые системы, такие как «умные дома», солнечные и ветроэнергетические установки, системы SmartGrid и т.д
Проекты
Разрабатываются и публикуются в открытом доступе утилиты для идентификации и анализа безопасности сетевого взаимодействия, подбора паролей для промышленных протоколов, таких как modbus, Siemens S7, MMS, IEC 60870, ProfiNet.
В 2014 году наработки были использованы в системе Shodan для построения карты компонентов АСУ ТП, доступных из Интернет. Некоторые релизы встраиваются в системы анализа защищенности с открытым исходным кодом, такие как THC Hydra, Metasploit, DigitalBond Redpoint.
Был опубликован набор рекомендаций по повышению защищенности промышленных систем, построенных на основе продуктов Siemens SIMATIC WinCC и WinCC Flexible. В документах описаны встроенные защитные механизмы и варианты их использования.
Один из проектов команды — тестовый макет Choo Choo PWN, известный также как Critical Infrastructure Attack (CIA), представляет собой игрушечный город, управление инфраструктурой которого (железной дорогой, заводами, освещением) реализовано на реальном промышленном оборудовании. Система была использована на конференциях PHDays, Power of Community, 30C3. Макет применяется как для обучения, так и для поиска уязвимостей. Так, на форуме Positive Hack Days IV участниками было выявлено несколько уязвимостей 0-day в продуктах Indusoft Web Studio 7.1 by Schneider Electric, RTU PET-7000.
Выступления
Участники команды активно выступают на конференциях по всему миру, таких как Всемирный конгресс хакеров, SCADA Security Scientific Symposium, Positive Hack Days. Из наиболее значимых выступлений можно выделить:
29C3
Представлен обзор выявленных командой уязвимостей в популярной платформе Siemens SIMATIC WinCC, инструменты для выявления ICS в Интернет..
PHDays
На выступлениях в рамках PHDays III и PHDays IV были представлены уязвимости распространенных платформ АСУ ТП ABB, Emerson, Honeywell and Siemens.
Confidence 2014
Представлены результаты анализа защищенности как хорошо популярных протоколов Profinet, Modbus, DNP3, так и сетевых протоколов IEC 61850-8-1 (MMS), IEC 61870-5-101/104, FTE (Fault Tolerant Ethernet), Siemens S7.
PacSec 2014
Представлен анализ влияния использования радиодоступа и сетей 3G/4G на безопасности абонентских устройств, в том числе и промышленного оборудования.
Философия
Название, лозунг и другие элементы группы отсылают к культовому фильму Стенли Кубрика «Dr. Strangelove or: How I Learned to Stop Worrying and Love the Bomb». В докладах широко используются отсылки к эпизодам холодной войны, таким как Карибский кризис. Проводятся параллели между гонкой ядерных вооружений и текущей эскалацией кибервойны. Команда не публикует эксплойты для выявленных уязвимостей, мотивируя это долгим циклом внесения изменений в промышленные системы, где от выпуска патча до его установки могут пройти годы. Команда придерживается идеи «ответственного разглашения» и, согласно заявлениям «готовы ждать годы, пока вендор закроет дыру». Однако иногда возникают и конфликты, например в 2012 году было отменено выступление на DEF CON.
Примечания
- http://github.com/atimorin/scada-tools
- GitHub: scada-tools http://github.com/atimorin/scada-tools
- Архивированная копия — http://icsmap.shodan.io/
- http://icsmap.shodan.io/
- https://web.archive.org/web/20150221222014/https://icsmap.shodan.io/
- Shodan
- http://www.thc.org/thc-hydra/CHANGES
- Changelog for hydra http://www.thc.org/thc-hydra/CHANGES
- http://github.com/nxnrt/wincc_harvester{{ref%7Cen
- GitHub: wincc_harvester http://github.com/nxnrt/wincc_harvester
- http://www.digitalbond.com/blog/2014/04/15/redpoint-release-siemens-s7-enumeration/
- Redpoint Release: Siemens S7 Enumeration http://www.digitalbond.com/blog/2014/04/15/redpoint-release-siemens-s7-enumeration/
- Архивированная копия — http://www.ptsecurity.ru/download/WINCC-Compliance_v2_3a.pdf/
- http://www.ptsecurity.ru/download/WINCC-Compliance_v2_3a.pdf/
- https://web.archive.org/web/20150527132923/http://ptsecurity.ru/download/WINCC-Compliance_v2_3a.pdf
- Siemens Simatic WinCC 7.X SCADA Security Hardening Guide Draft Version
- http://www.slideshare.net/qqlan/pt-siemens-wincc-flexible-security-hardening-guide
- Siemens Simatic WinCC Flexible 2008 Security Hardening Guide
- http://dailysecu.com/news_view.php?article_id=5619/
- http://dailysecu.com/news_view.php?article_id=5619%2F
- [POC2013-TV] 실제 스카다 시스템, 2시간 만에 해킹당해 http://dailysecu.com/news_view.php?article_id=5619/
- http://blog.phdays.com/2014/06/smart-city-hacked-at-phdays-iv.html#more/
- Smart City Hacked at PHDays IV http://blog.phdays.com/2014/06/smart-city-hacked-at-phdays-iv.html#more/
- http://scadastrangelove.blogspot.ru/search/label/29C3
- SCADA STRANGELOVE or: How I Learned to Start Worrying and Love Nuclear Plants http://scadastrangelove.blogspot.ru/search/label/29C3
- http://2013.phdays.com/program/#16986
- Positive Hack Days III http://2013.phdays.com/program/#16986
- http://2014.phdays.com/program/tech/37848/
- Positive Hack Days IV http://2014.phdays.com/program/tech/37848/
- Архивированная копия — http://2014.confidence.org.pl/en/agenda/point/16/
- http://2014.confidence.org.pl/en/agenda/point/16/
- https://web.archive.org/web/20141219001238/http://2014.confidence.org.pl/en/agenda/point/16/
- SCADA deep inside: protocols and security mechanisms
- https://www.theregister.co.uk/2014/11/19/sms_pwnage_on_meellions_of_flawed_sim_cards_popular_4g_modems/
- Root via SMS https://www.theregister.co.uk/2014/11/19/sms_pwnage_on_meellions_of_flawed_sim_cards_popular_4g_modems/
- http://www.networkworld.com/article/2161284/applications/siemens-industrial-software-targeted-by-stuxnet-is-still-full-of-holes.html/
- Siemens industrial software targeted by Stuxnet is still full of holes http://www.networkworld.com/article/2161284/applications/siemens-industrial-software-targeted-by-stuxnet-is-still-full-of-holes.html/
Ссылки
- Large Hadron Collider used vulnerable SCADA system, ITnews Australia — http://itnews.com.au/News/372995,large-hadron-collider-used-vulnerable-scada-system.aspx
- http://itnews.com.au/News/372995,large-hadron-collider-used-vulnerable-scada-system.aspx
- WinCC Under X-Rays by Sergey Gordeychik, Digital Bond — http://www.digitalbond.com/blog/2013/03/21/s4x13-video-wincc-under-x-rays-by-sergey-gordeychik/
- http://www.digitalbond.com/blog/2013/03/21/s4x13-video-wincc-under-x-rays-by-sergey-gordeychik/
- SCADA Security In A Post-Stuxnet World, Information Week Dark Reading — http://www.darkreading.com/vulnerabilities---threats/scada-security-in-a-post-stuxnet-world/d/d-id/1138634?
- http://www.darkreading.com/vulnerabilities---threats/scada-security-in-a-post-stuxnet-world/d/d-id/1138634
- Hackers gain 'full control' of critical SCADA systems, ITnews Australia — http://itnews.com.au/News/369200,hackers-gain-full-control-of-critical-scada-systems.aspx
- http://itnews.com.au/News/369200,hackers-gain-full-control-of-critical-scada-systems.aspx
- Stuxnet issues rumble on as vulnerabilities remain, PC Pro — http://www.pcpro.co.uk/news/security/378046/stuxnet-issues-rumble-on-as-vulnerabilities-re
- Siemens software targeted by Stuxnet still full of holes, Computerworld — http://www.computerworld.com/article/2493358/security0/siemens-software-targeted-by-stuxnet-still-full-of-holes.html
- http://www.computerworld.com/article/2493358/security0/siemens-software-targeted-by-stuxnet-still-full-of-holes.html
- Large Hadron Collider used vulnerable SCADA system, ITnews Australia
- WinCC Under X-Rays by Sergey Gordeychik, Digital Bond
- SCADA Security In A Post-Stuxnet World, Information Week Dark Reading
- Hackers gain 'full control' of critical SCADA systems, ITnews Australia
- Stuxnet issues rumble on as vulnerabilities remain, PC Pro
- Siemens software targeted by Stuxnet still full of holes, Computerworld